China verschärft erneut die regulatorischen Anforderungen an Unternehmen im digitalen Raum. Die Nationalen Maßnahmen zum Management der Meldung von Cybersicherheitsvorfällen sind am 1. November 2025 in Kraft getreten und konkretisieren die im CSL, DSL und PIPL verankerten Pflichten. Damit verdichtet sich für Unternehmen mit China-Geschäft das Compliance-Regime noch mehr.
Im Zentrum der neuen Maßnahmen steht die verpflichtende und strikt fristgebundene Meldung von Cybersicherheitsvorfällen durch sämtliche Netzbetreiber. Der Begriff ist dabei weit gefasst und umfasst nicht nur klassische Cyberangriffe, sondern auch Systemfehler, Fehlkonfigurationen, menschliches Versagen oder externe Einwirkungen, sofern diese zu Beeinträchtigungen von Netzwerken, Daten oder Geschäftsprozessen führen.
Die Meldefristen werden erheblich verkürzt, Vorfälle müssen je nach Schweregrad und betroffener Infrastruktur innerhalb einer Stunde gemeldet werden. Betreiber kritischer Informationsinfrastrukturen unterliegen dabei den strengsten Anforderungen, während für andere Unternehmen Fristen von wenigen Stunden gelten. Parallel wird ein mehrstufiges Meldesystem etabliert, bei dem lokale, provinzielle und nationale Behörden eng verzahnt sind. Dies führt faktisch zu einer nahezu in Echtzeit funktionierenden staatlichen Informationskette.
Die inhaltlichen Anforderungen an die Meldung sind hoch. Unternehmen müssen nicht nur Basisinformationen zum Vorfall liefern, sondern auch eine erste Ursachenanalyse, Angaben zu Angriffspfaden, potenziellen Tätern, bestehenden Schwachstellen sowie konkrete Vorschläge für Gegenmaßnahmen. Bei Ransomware-Angriffen werden detaillierte Angaben zu Lösegeldforderungen verlangt. Gleichzeitig besteht eine fortlaufende Berichtspflicht, neue Erkenntnisse oder Entwicklungen müssen unverzüglich nachgemeldet werden.
Wichtig ist die Einbindung von Dienstleistern. Unternehmen sind verpflichtet, entsprechende Meldepflichten vertraglich auf externe IT-Dienstleister, Betreiber oder Sicherheitsanbieter zu übertragen. Damit wird die Verantwortung entlang der gesamten IT-Wertschöpfungskette ausgeweitet. Der Gesetzgeber fordert auch gesellschaftliche Akteure zur Meldung schwerwiegender Vorfälle auf, was die Sensibilisierung und Kontrolle zusätzlich verstärkt.
Die regulatorische Pflicht endet aber nicht mit dem Abschluss eines Vorfalls. Innerhalb von 30 Tagen ist ein umfassender Abschlussbericht zu erstellen, der Ursachen, Schäden, Verantwortlichkeiten sowie Verbesserungsmaßnahmen detailliert dokumentiert. Dieser Bericht dient nicht nur der Aufarbeitung, sondern auch der regulatorischen Bewertung und potenziellen Sanktionierung.
Die Klassifizierung von Cybersicherheitsvorfällen erfolgt anhand klar definierter Schwellenwerte, die die Tragweite eines Vorfalls quantifizieren. Besonders schwerwiegende Vorfälle liegen dann vor, wenn kritische Infrastrukturen über Stunden ausfallen, mehr als zehn Millionen Personen betroffen sind oder Datenlecks mit über 100 Millionen Datensätzen auftreten. Auch wirtschaftliche Schäden in dreistelliger Millionenhöhe oder großflächige Desinformationsverbreitung werden berücksichtigt. Diese quantitative Systematik schafft einerseits Klarheit, erhöht andererseits aber auch den Druck auf Unternehmen, Vorfälle korrekt und frühzeitig einzuordnen.
Verspätete, unterlassene oder falsche Meldungen können zu empfindlichen Sanktionen führen, die sich sowohl gegen das Unternehmen als auch gegen verantwortliche Personen richten. Gleichzeitig sieht die Verordnung auch Anreize für regelkonformes Verhalten vor. Wer angemessene Schutzmaßnahmen implementiert, Vorfälle wirksam eindämmt und fristgerecht meldet, kann unter Umständen mit einer Reduzierung oder sogar Befreiung von Haftung rechnen.
Für international tätige Unternehmen ergeben sich daraus klare Handlungsimplikationen. Incident-Response-Prozesse müssen nicht nur technisch, sondern auch organisatorisch und rechtlich auf die chinesischen Anforderungen ausgerichtet werden. Entscheidungswege sind zu verkürzen, Meldeprozesse zu standardisieren und Verantwortlichkeiten eindeutig zu definieren. Zudem gewinnt die Fähigkeit zur schnellen Klassifizierung von Vorfällen erheblich an Bedeutung, da hiervon unmittelbar die regulatorischen Pflichten abhängen.
Unser Webinar am 21. Mai 2026 um 10:00 Uhr zeigt, welche Komponenten ein solches Managementsystem hat und wie es eingerichtet wird. Der Link zur Anmeldung: https://register.gotowebinar.com/register/841334655020093533
China Intellectual Property Blog 